WordPress Har alltid hatt innebygde funksjoner som lar deg eksternt samhandle med nettstedet ditt. Innse det, noen ganger må du få tilgang til nettstedet ditt og datamaskinen vil ikke være hvor som helst i nærheten. I lang tid var løsningen en fil som heter xmlrpc.php. Men de siste årene har filen blitt mer av et skadedyr enn en løsning.
nedenfor dykker vi inn i hva xmlrpc.php er faktisk og hvorfor det ble opprettet. Vi har også oversikt over vanlige sikkerhetsproblemer det forårsaker og hvordan du lapper dem på Ditt Eget WordPress-nettsted.
Ta Ditt WordPress-nettsted til neste nivå og få en sikker WordPress-hostingløsning med Hostinger i dag!
Kom I Gang Her
Hva Er Xmlrpc.php?
XML-RPC er en funksjon I WordPress som gjør det mulig å overføre data, MED HTTP som transportmekanisme og XML som kodingsmekanisme. Siden WordPress ikke er et selvlukket system og noen ganger trenger å kommunisere med andre systemer, ble Dette søkt å håndtere den jobben.
la oss for eksempel si at du ønsket å legge til nettstedet ditt fra mobilenheten siden datamaskinen ikke var i nærheten. Du kan bruke funksjonen for ekstern tilgang aktivert av xmlrpc.php for å gjøre nettopp det.
kjernen har som xmlrpc.php aktivert var slik at du kan koble til nettstedet ditt via smarttelefon, implementere trackbacks og pingbacks fra andre nettsteder, og noen funksjoner knyttet Til Jetpack plugin.
Hvorfor Var Xmlrpc.php Opprettet og Hvordan Ble det Brukt?
implementeringen AV XML-RPC går tilbake Til De tidlige Dagene Av WordPress før Det selv ble WordPress.
Tilbake i de tidlige dagene av internett, da forbindelsene var utrolig sakte, var prosessen med å skrive og publisere på nettet mye vanskeligere og tidkrevende. I stedet for å skrive i selve nettleseren, ville de fleste skrive offline, deretter kopiert og limt inn innholdet på nettet. Likevel var denne prosessen langt fra ideell.
løsningen (på den tiden) var å opprette en offline blogging klient, hvor du kan komponere innholdet ditt, og deretter koble til bloggen din for å publisere den. Denne tilkoblingen ble gjort GJENNOM XML-RPC. Med det grunnleggende rammeverket FOR XML-RPC på plass, brukte tidlige apper denne samme tilkoblingen for å tillate folk å logge på Sine WordPress-nettsteder fra andre enheter.
XML-RPC I Dag
i 2008, med Versjon 2.6 Av WordPress, var det et alternativ å aktivere ELLER deaktivere XML-RPC. MEN med utgivelsen Av WordPress iPhone-appen ble XML-rpc-støtte aktivert som standard, og det var ikke mulig å slå av innstillingen. Dette har vært sant til i dag.
funksjonaliteten til denne filen er imidlertid kraftig redusert over tid, og den totale størrelsen på filen er redusert fra 83kb til 3kb, slik at den ikke spiller så stor rolle som den pleide å.
FREMTIDEN FOR XML-RPC
MED Den nye WordPress API, kan VI forvente XML-RPC å bli eliminert helt. I dag er denne NYE API fortsatt i prøvefasen og kan bare aktiveres ved bruk av et plugin.
DU kan imidlertid forvente AT API-EN skal kodes direkte inn I WordPress-kjernen i fremtiden, noe som for det meste vil eliminere behovet for xmlrpc.php-fil helt.
den nye API er ikke perfekt, men det gir en mer robust og sikker løsning på problemet som xmlrpc.php adressert.
Hvorfor Du Bør Deaktivere Xmlrpc.php
DE største problemene MED XML-RPC er sikkerhetsbekymringene som oppstår. Problemene er ikke MED XML-RPC direkte, men i stedet hvordan filen kan brukes til å aktivere et brute force-angrep på nettstedet ditt.
Jada, du kan beskytte deg selv med utrolig sterke passord, Og WordPress sikkerhet plugins. Men den beste beskyttelsesmodusen er å bare deaktivere den.
DET er TO hovedsvakheter TIL XML-RPC som har blitt utnyttet tidligere.
den første bruker brute force angrep for å få tilgang til nettstedet ditt. En angriper vil prøve å få tilgang til nettstedet ditt ved hjelp av xmlrpc.php ved hjelp av ulike brukernavn og passord kombinasjoner. De kan effektivt bruke en enkelt kommando for å teste hundrevis av forskjellige passord. Dette tillater dem å omgå sikkerhetsverktøy som vanligvis oppdager og blokkerer brute force-angrep.
den andre tok nettsteder offline gjennom Et DDoS-angrep. Hackere ville bruke pingback-funksjonen I WordPress for å sende pingbacks til tusenvis av nettsteder øyeblikkelig. Denne funksjonen i xmlrpc.php gir hackere en nesten endeløs forsyning AV IP-adresser for å distribuere Et DDoS-angrep over.
for å sjekke OM XML-RPC kjører på nettstedet ditt, kan du kjøre DET gjennom et verktøy kalt XML – Rpc Validator. Kjør nettstedet ditt gjennom verktøyet, og hvis du får en feilmelding, betyr det at DU ikke har XML-RPC aktivert.
hvis du får en suksessmelding, kan du stoppe xmlrpc.php med en av de to tilnærmingene nedenfor.
Metode 1: Deaktivering Av Xmlrpc.php Med Plugins
Deaktivering AV XML-RPC på WordPress-siden din kunne ikke vært enklere.
bare naviger Til Plugins » Legg Til Ny seksjon fra Ditt WordPress-dashbord. Søk Etter Deaktiver XML-RPC og installer plugin som ser ut som bildet nedenfor:
Aktiver plugin og du er klar. Denne plugin vil automatisk sette inn den nødvendige koden for å slå AV XML-RPC.
vær Imidlertid oppmerksom på at noen eksisterende plugins kan bruke deler AV XML-RPC, slik at deaktivering av DET helt kan føre til at en plugin-konflikt eller visse elementer på nettstedet ditt ikke lenger fungerer.
hvis du bare vil slå av visse elementer AV XML-RPC, men likevel tillate visse plugins og funksjoner å fungere, bruk deretter følgende plugins i stedet:
- Stopp XML – Rpc Angrep. Denne plugin vil stoppe ALLE XML-RPC-angrep, men det vil fortsette å tillate plugins som Jetpack, og andre automatiske verktøy og plugins for å beholde tilgangen til xmlrpc.php-fil.
- Kontroll XML – Rpc Publisering. Dette gjør at du kan beholde kontroll og bruk over remote publishing alternativet gis av xmlrpc.php.
Metode 2: Deaktivering Av Xmlrpc.php Manuelt
hvis du ikke vil bruke et plugin og foretrekker å gjøre det manuelt, følg denne tilnærmingen. Det vil stoppe alle innkommende xmlrpc.php forespørsler før det blir sendt Inn På WordPress.
Åpne opp din.htaccess-fil. Du må kanskje slå på ‘vis skjulte filer’ i file manager eller FTP-klienten for å finne denne filen.
Inne i din.htaccess-fil, lim inn følgende kode:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Merk: Endre xxx. xxx. xxx. xxx TIL IP-adressen du ønsker å tillate tilgang xmlrpc.php eller fjern denne linjen helt.
Avsluttende Tanker
SAMLET SETT VAR XML-RPC en solid løsning på noen av problemene som oppstod på grunn av ekstern publisering til WordPress-nettstedet ditt. Men med denne funksjonen kom noen sikkerhetshull som endte opp med å bli ganske skadelige for Noen WordPress-nettstedseiere.
for å sikre at nettstedet ditt forblir sikkert, er det en god ide å deaktivere xmlrpc.php helt. Med mindre du trenger noen av funksjonene som trengs for ekstern publisering og Jetpack plugin. Deretter bør du bruke løsningen plugins som tillater disse funksjonene, mens du fortsatt patching sikkerhetshullene.
med tiden kan vi forvente at FUNKSJONENE I XML-RPC blir integrert i Den nye WordPress API, som vil holde ekstern tilgang og lignende uten å ofre sikkerheten. Men i mellomtiden er det en god ide å beskytte deg mot de potensielle XML – rpc-sikkerhetshullene.